吳明宜Fortinet 接連傳出 SSL VPN 及管理平台 FortiSIEM 攻擊事件,前者是大規模憑證暴力破解,後者則是重大 RCE 漏洞出現濫用活動,用戶應特別留意。
資安廠商 GreyNoise 發現,本月稍早 Fortinet SSL VPN 發生暴力破解事件驟增,之後攻擊轉向 FortiManager 。研究人員先是在本月初 (8/3) 觀測到有人一天內經由 782 個 IP 位址對 Fortinet SSL VPN 裝置試圖暴力破解。經過 JA4+指紋分析,研究人員認為和 6/1 起來自住宅區 IP 的 FortiGate 裝置有關,但是無法判斷攻擊者身份。 8 月 5 日該公司又偵測到一起暴力破解活動,研判來自兩天前同一批攻擊者,但是攻擊標的由 Fortinet SSL VPN 的 FortiOS 轉向為 FortiManager 。
研究人員認為,攻擊者或同一攻擊基礎架構的目的從暴力破解 VPN 轉向取得 FortiManager 憑證。分析這幾波掃瞄行動涉及多個 IP,他們認為,從短時間快速進展及發自特定來源的適應性測試這幾點來看,不太可能是研究行為,後者通常時間較長,速率也較低,且不會發生暴力破解憑證的行為。因而顯然是意圖入侵,這也表示駭客可能正在探索目前未知的漏洞。
這些 IP 包括
- 31.206.51.194
- 23.120.100.230
- 96.67.212.83
- 104.129.137.162
- 118.97.151.34
- 180.254.147.16
- 20.207.197.237
- 180.254.155.227
- 185.77.225.174
- 45.227.254.113
因此,企業管理員應儘速封鎖 IP 位址、加強 Fortinet 裝置的登入防護、並且儘可能緊縮外部存取管道,僅允許少數受信任的 IP 和 VPN 存取行為。
FortiSIEM 重大 RCE 漏洞已有攻擊程式出現
不到一周,Fortinet 又發出安全公告,警告事件管理平台 FortiSIEM 存在重大漏洞 CVE-2025-25256,可在未經授權的攻擊者發動遠端命令注入攻擊。
FortiSIEM 是用於蒐集記錄、網路遠端感測、網路事件警示的分析及監控中央管理平台,是 IT 管理的重要工具。 FortiSIEM 用戶涵括政府、金融、大型企業、安全服供應商 (MSSP) 及醫療業。
CVE-2025-25256 被評為 9.8 的重大風險漏洞,影響 5.4 至 7.3 所有版本的 FortiSIEM 。 Fortinet 提醒,已觀測有實際的漏洞漏用工具流傳,該程式並不會產生明顯入侵指標,極難以察覺,呼籲用戶應及早安裝更新確保安全。